Mozilla envió 423 correcciones de fallos de seguridad de Firefox en abril de 2026, equiparable aproximadamente a los 14 meses anteriores juntos, tras acceder a Claude Mythos Preview de Anthropic. La versión 150 de abril incluyó por sí sola 271 correcciones — 180 calificadas como sec-high, 80 sec-moderate y 11 sec-low —, con parches adicionales repartidos entre 149.0.2, 150.0.1 y 150.0.2. Entre la muestra divulgada: un problema de reentrada en XSLT con 20 años de antigüedad (Bug 2025977), en el que llamadas a key() podían liberar el almacenamiento de respaldo y dejar un puntero en bruto en uso; una falla de 15 años en el elemento HTML (Bug 2024437); un bug de WebAssembly GC que podía generar una primitiva de objeto falso para lectura o escritura arbitrarias; condiciones de carrera en IPC que afectaban a los recuentos de referencias del proceso padre; una deserialización de NaN en bruto a través de un límite de IPC; y fugas de memoria de pila del proceso padre durante el解析 DNS.
Por qué importa
Firefox es uno de los navegadores más auditados del mundo, examinado durante dos décadas por equipos internos, investigadores externos, fuzzers y cazadores de recompensas. Que un defecto de XSLT con 20 años haya sobrevivido a ese escrutinio es el dato más rotundo sobre cuánto tiempo pueden persistir fallas de apariencia explotable en bases de código maduras — y sobre cómo ha cambiado el coste del descubrimiento. Mozilla atribuyó el rendimiento a Claude Mythos Preview, pero insistió en que el modelo era solo una mitad del resultado. La otra mitad fue un armazón (harness) que la compañía construyó para guiar al modelo hacia áreas de código específicas, generar casos de prueba reproducibles, filtrar ruido, deduplicar hallazgos, clasificar la severidad e incorporar los bugs confirmados al ciclo de vida de seguridad. Más de 100 personas aportaron código al esfuerzo de hardening. Sin ese andamiaje operativo, la salida del modelo habría colapsado bajo su propio volumen — la misma carga de ruido que había vuelto inviables los informes de seguridad generados por IA para los maintainers de código abierto.
Impacto en el mercado
La asimetría es la verdadera historia. Un actor hostil con herramientas al nivel de Mythos antes del ciclo de Mozilla habría dispuesto de una superficie de búsqueda más amplia, una generación de pruebas de concepto más rápida y un inventario más profundo de primitivas encadenables — incluyendo candidatas a evasión de sandbox que requieren precisión más que escala. Para el stack cripto, la implicación es directa. Los navegadores se sitúan entre los usuarios y los exchanges, wallets, bridges, paneles de custodia, portales de gobernanza y consolas de administración; un compromiso a nivel de navegador contra un usuario específico puede secuestrar sesiones, manipular detalles de transacciones antes de la firma, inyectar prompts en wallets, o pivotar desde la máquina de un desarrollador hacia la infraestructura operativa.
Preguntas frecuentes
-
¿Cuál es el bug de 20 años que Mozilla divulgó en Firefox?
El Bug 2025977 es un problema de reentrada en XSLT en el que llamadas a key() podían provocar un rehash de la tabla hash, liberar el almacenamiento de respaldo y dejar un puntero a una entrada en bruto en uso. Es una de las muestras divulgadas del aluvión de parches de abril de 2026 de Mozilla e ilustra cuánto tiempo…
-
¿Cuántos bugs de seguridad corrigió Firefox en abril de 2026?
Mozilla envió 423 correcciones de bugs de seguridad de Firefox en abril de 2026, con la versión Firefox 150 incluyendo por sí sola 271 correcciones — 180 calificadas como sec-high, 80 sec-moderate y 11 sec-low. Correcciones adicionales aterrizaron en 149.0.2, 150.0.1 y 150.0.2.
-
¿Cómo ayudó a Mozilla a encontrar bugs Claude Mythos Preview de Anthropic?
Mozilla afirmó que Claude Mythos Preview fue clave para el rendimiento de descubrimiento, pero la compañía también construyó un armazón alrededor del modelo para guiarlo hacia áreas de código específicas, generar casos de prueba reproducibles, filtrar ruido, deduplicar hallazgos, clasificar la severidad y encauzar los…
-
¿Por qué importa esto para los usuarios de cripto?
Los navegadores se sitúan entre los usuarios y los exchanges, wallets, bridges, paneles de custodia, portales de gobernanza y consolas de administración. Un compromiso a nivel de navegador puede secuestrar sesiones, manipular detalles de transacciones antes de la firma, inyectar prompts maliciosos en wallets, capturar…
-
¿Qué es la asimetría defensor-atacante en seguridad asistida por IA?
Los atacantes necesitan menos resultados confirmados, pueden mantener los hallazgos en privado y pueden dirigirse a un conjunto reducido de víctimas. Los defensores deben corregir de forma amplia, evitar regresiones, coordinar lanzamientos y proteger a usuarios con actualizaciones lentas. El aluvión de abril de…